探測(cè)遠(yuǎn)程主機(jī)操作系統(tǒng)指紋

1、探測(cè)遠(yuǎn)程主機(jī)操作系統(tǒng)指紋 操作系統(tǒng)探測(cè)技術(shù)主要有以下幾種方式：獲取標(biāo)識(shí)信息  在很多探測(cè)工具中都使用了此項(xiàng)技術(shù)來獲得某些服務(wù)的標(biāo)識(shí)信息。它往往是通過對(duì)二進(jìn)制文件的收集和分析來實(shí)現(xiàn)的。tcp分段（標(biāo)準(zhǔn)/非標(biāo)準(zhǔn)）響應(yīng)分析  它是依靠不同操作系統(tǒng)對(duì)特定分段的不同反應(yīng)來區(qū)分的。比較流行的工具有savage的queso和fyodor的nmap,他們都使用了很多來自于這種技術(shù)的變種。icmp響應(yīng)分析  它是剛推出不久的一種技術(shù)。它通過發(fā)送upd或icmp的請(qǐng)求報(bào)文，然后分析各種icmp應(yīng)答。ofir arkin的x-probe就是使用的這種技術(shù)，在通常情況下，x-probe工

2、作的比較好，但是在防火墻阻塞某些協(xié)議時(shí)，得到的結(jié)果就不那么盡如人意了。初始化序列號(hào)（isn）分析  在tcp棧中不同的exploits隨機(jī)產(chǎn)生，通過鑒別足夠的測(cè)試結(jié)果來確定遠(yuǎn)程主機(jī)的操作系統(tǒng)。特殊的操作系統(tǒng)  拒絕服務(wù)同樣可以用在操作系統(tǒng)指紋的探測(cè)上，而不僅僅是被黑客所使用。在一些非常特殊的情況下，拒絕服務(wù)能探測(cè)到準(zhǔn)確的結(jié)果。在本文中，著重以nmap為例，介紹一下探測(cè)遠(yuǎn)程主機(jī)操作系統(tǒng)指紋的方法。有許多技術(shù)可以用來定義網(wǎng)絡(luò)棧指紋?；旧希阒灰页霾僮飨到y(tǒng)間的不同并寫探測(cè)器查明它們。如果你合并足夠這些，你可以非常細(xì)致的區(qū)分它們。下面介紹一些這種技術(shù)：fin 探測(cè)器 - 這里我

3、們送一個(gè)fin包（或任何其他包不帶ack 或syn標(biāo)記）給一個(gè)打開的端口并等待回應(yīng)。正確的rfc793行為是不響應(yīng)，但許多有問題的實(shí)現(xiàn)例如 ms windows, bsdi, cisco, hp/ux,mvs,和irix 發(fā)回一個(gè)reset。許多現(xiàn)有工具利用這個(gè)技術(shù)。bogus 標(biāo)記探測(cè)器 - queso 是一個(gè)用這種技術(shù)的掃描器。它是設(shè)置一個(gè)未定義的tcp “標(biāo)記”（64或128）在syn包的tcp頭里。linux機(jī)器到2.0.35之前在回應(yīng)中保持這個(gè)標(biāo)記。其他os還沒發(fā)現(xiàn)有這個(gè)錯(cuò)誤。然而，一些操作系統(tǒng)象是復(fù)位連接當(dāng)它們得到一個(gè)syn+ bogus包的時(shí)候。這一行為對(duì)辨識(shí)它們有用。tcp i

4、sn 取樣 - 這個(gè)主意是找出當(dāng)響應(yīng)一個(gè)連接請(qǐng)求時(shí)由tcp 實(shí)現(xiàn)所選擇的初始化序列數(shù)式樣。這可分為許多組例如傳統(tǒng)的64k（許多老unix機(jī)器），隨機(jī)增量（新版本的solaris, irix, freebsd,digital unix, cray, 和許多其他的），真“隨機(jī)”（linux 2.0.*,openvms,新的aix,等）。windows 機(jī)器（和一些其他的）用一個(gè)“時(shí)間相關(guān)”模型，每過一段時(shí)間isn 就被加上一個(gè)小的固定數(shù)。不用說，這幾乎和老的64k 行為一樣容易攻破。當(dāng)然最讓人喜歡的技術(shù)是”常數(shù)”。機(jī)器總是使用確切同樣的isn 。而3com的集線器（用0x803）和apple la

5、serwriter打印機(jī)（用0xc7001 ）就是這樣。你也可以通過例如計(jì)算其隨機(jī)數(shù)的變化量，最大公約數(shù)，以及序列數(shù)的其他函數(shù)和數(shù)之間的差異再進(jìn)一步分組。不分段位 - 許多操作系統(tǒng)開始在送出的一些包中設(shè)置ip的”dont fragment”位。這帶來多種性能上的好處（盡管它也可能是討厭的 - 這就是nmap的分段掃描對(duì)solaris機(jī)器無效的原因）。無論如何，不是所有的os都這樣做而且另一些做的場(chǎng)合不同，所以通過注意這個(gè)位我們甚至能收集目標(biāo)os的更多信息。tcp 初始化窗口 - 這只包括了檢查返回包的窗口大小。較老的掃描器簡(jiǎn)單地用一個(gè)非零窗口在rst包中來表示“bsd 4.4 族”。新一些的如

6、queso 和nmap則保持對(duì)窗口的精確跟蹤因?yàn)樗鼘?duì)于特定os基本是常數(shù)。這個(gè)測(cè)試事實(shí)上給出許多信息，因?yàn)橛行┛梢员晃ㄒ淮_定（例如，aix 是所知唯一用0x3f25的）。在它們“完全重寫”的nt5 tcp 棧中，microsoft 用的是0x402e。有趣的是，這和openbsd 與freebsd 中所用的數(shù)字完全一樣。ack 值 - 不同實(shí)現(xiàn)中一些情況下ack域的值是不同的。例如，如果你送了一個(gè)fin|psh|urg 到一個(gè)關(guān)閉的tcp 端口。大多數(shù)實(shí)現(xiàn)會(huì)設(shè)置ack 為你的初始序列數(shù)，而windows 和一些傻打印機(jī)會(huì)送給你序列數(shù)加1 。若你送一個(gè)syn|fin|urg|psh 到一個(gè)打開的

7、端口，windows 會(huì)非常古怪。一些時(shí)候它送回序列號(hào)，但也有可能送回序列號(hào)加1， 甚至還可能送回一個(gè)隨機(jī)數(shù)。icmp 錯(cuò)誤信息終結(jié) - 一些操作系統(tǒng)跟從rfc 1812的建議限制各種錯(cuò)誤信息的發(fā)送率。例如，linux 內(nèi)核（在net/ipv4/icmp.h）限制目的不可達(dá)消息的生成每4 秒鐘80個(gè)，違反導(dǎo)致一個(gè)1/4 秒的處罰。測(cè)試的一種辦法是發(fā)一串包到一些隨機(jī)的高udp 端口并計(jì)數(shù)收到的不可達(dá)消息。icmp 消息引用 - rfc 規(guī)定icmp錯(cuò)誤消息可以引用一部分引起錯(cuò)誤的源消息。對(duì)一個(gè)端口不可達(dá)消息，幾乎所有實(shí)現(xiàn)只送回ip請(qǐng)求頭外加8 字節(jié)。然而，solaris 送回的稍多，而linux

8、 更多。這使得nmap甚至在沒有對(duì)方?jīng)]有監(jiān)聽端口的情況下認(rèn)出linux 和solaris 主機(jī)。icmp 錯(cuò)誤消息回應(yīng)完整性 - 機(jī)器會(huì)把原始消息的一部分和端口不可達(dá)錯(cuò)誤一起送回。然而一些機(jī)器傾向于在初始化處理時(shí)用你的消息頭作為“草稿紙”所以再得到時(shí)會(huì)有些許的改動(dòng)。例如，aix 和bsdi送回一個(gè)ip“全長(zhǎng)”域在20字節(jié)處。一些 bsdi，freebsd，openbsd，ultrix，和vaxen 改變了你送的ip id 。因?yàn)閠tl 改變而改變了檢查和，有些機(jī)器（aix, freebsd, 等）送回錯(cuò)誤的或0 檢查和?？傊?，nmap作9 種測(cè)試在icmp錯(cuò)誤上以分辨出這類細(xì)微差別。服務(wù)類型

9、- 對(duì)于icmp端口不可達(dá)消息可察看送回包的服務(wù)類型(tos)值。幾乎所有實(shí)現(xiàn)在這個(gè)icmp錯(cuò)誤里用0 除了linux 用0xc0。這不是標(biāo)準(zhǔn)的tos 值，而是一個(gè)未使用優(yōu)先域(afaik) 的一部分。盡管不知道為什么如此，但如果他們改成0 我們還能夠分辨舊系統(tǒng)_而且_還能分辨出舊系統(tǒng)和新系統(tǒng)。tcp 選項(xiàng) - 這簡(jiǎn)直是泄漏信息的金礦。它的好處在于：1) 這通常是可選的，所以并非所有實(shí)現(xiàn)都支持。2) 若一個(gè)實(shí)現(xiàn)發(fā)出設(shè)置了選項(xiàng)的請(qǐng)求，目標(biāo)通過設(shè)置它在回應(yīng)中表示支持。3) 可以在一個(gè)數(shù)據(jù)包中設(shè)置而一次測(cè)試所有選項(xiàng)。       

10、                 nmap發(fā)送這些選項(xiàng)的幾乎所有可能的包：window scale=10; nop; max segment size = 265; timestamp; end of ops;當(dāng)你得到回應(yīng)，看看那個(gè)選項(xiàng)被送回也就是被支持。一些操作系統(tǒng)如最近的freebsd 機(jī)器支持上面所有的，而其他，如linux 2.0.x支持的則很少。最近的linux 2.1.x 內(nèi)核支持上面所有的。另一方面，它們又有更易受攻擊的t

11、cp 序列生成方式。即使幾個(gè)操作系統(tǒng)支持同樣的選項(xiàng)集，有時(shí)仍可以通過選項(xiàng)的值分辨出它們。例如，如果送一個(gè)小的mss值給linux機(jī)器，它會(huì)用那個(gè)mss 生成一個(gè)回答給你。其他主機(jī)會(huì)給你不同的值。甚至即使你得到同樣的支持選項(xiàng)集和同樣得值，你仍可以通過選項(xiàng)提供的順序和填充字進(jìn)行辨識(shí)，例如solaris返回nntnwme表示；而linux 2.2.122返回menntnw。同樣的選項(xiàng)，同樣的值，但不同順序！沒見過其他os檢測(cè)工具利用tcp 選項(xiàng)，但它非常有用。因同樣原因有其他幾個(gè)有用的選項(xiàng)我會(huì)探測(cè)，象那些支持t/tcp和選擇性確認(rèn)。開發(fā)年代 - 甚至使用上面所有測(cè)試，nmap仍不能從tcp 棧區(qū)分win95，winnt，或win98。但你可以簡(jiǎn)單的進(jìn)行早期的windowsdos 攻擊（ping of death, winnuke, 等）而比當(dāng)時(shí)的如teardrop和land多做一些。就是在每個(gè)攻擊之后，ping它們看是否垮掉了。等到你最后crash 掉它們，你就能縮小的某一服務(wù)包或補(bǔ)丁。syn洪水限度 - 一些操作系統(tǒng)會(huì)停止新的連接嘗試如果你送太多的偽造s